L’application de messagerie SMS populaire pour Android GO SMS Pro expose toujours les photos, vidéos et fichiers partagés en privé de millions d’utilisateurs, malgré le fait que les chercheurs de Trustwave ont récemment révélé que l’application présentait une faille de sécurité majeure.
La société de cybersécurité a découvert en août que les fichiers multimédias envoyés via GO SMS Pro sont stockés de manière non sécurisée sur un serveur accessible au public auquel il est possible d’accéder à l’aide de scripts très mineurs. Bien qu’il ne soit pas possible de lier les fichiers multimédias à des utilisateurs spécifiques, les fichiers qui incluent des visages, des noms ou d’autres caractéristiques d’identification mettent en danger la confidentialité des utilisateurs en ligne.
Une nouvelle version de GO SMS Pro a été téléchargée sur le Play Store la veille du jour où Trustwave a révélé publiquement que l’application présentait une grave faille de sécurité. Google a ensuite supprimé l’application de son magasin, mais au moment de la rédaction de cet article, la version 7.94 de l’application est disponible au téléchargement.
Selon Trustwave, il semble que le développeur de l’application GOMO tente de résoudre le problème, mais un correctif complet n’est toujours pas disponible. Dans la version 7.93 de GO SMS Pro, la possibilité d’envoyer des fichiers multimédias a été complètement désactivée, tandis que la version 7.94 permet aux utilisateurs de télécharger des fichiers multimédias sur l’application, mais ces fichiers ne semblent aller nulle part lorsqu’ils sont envoyés à un autre utilisateur.
Sommaire
Toujours vulnérable
Malgré les tentatives de GOMO pour réparer son application, Trustwave a confirmé que les anciens supports utilisés pour vérifier la vulnérabilité d’origine sont toujours disponibles en ligne. Les fichiers multimédias exposés contiennent un certain nombre de données sensibles, notamment les permis de conduire, les numéros de compte d’assurance maladie, des documents juridiques et des images de nature plus «romantique».
Les cybercriminels sont bien conscients de la faille de GO SMS Pro et Trustwave a découvert de nombreux outils et scripts conçus pour exploiter la vulnérabilité sur des sites tels que Pastebin et GitHub. Plusieurs de ces outils les plus populaires sont mis à jour quotidiennement et la firme a également observé des forums souterrains partageant des images téléchargées directement depuis les serveurs de l’application.
Malheureusement, GOMO a été moins que coopératif lorsqu’il s’agit de travailler avec Trustwave pour corriger la vulnérabilité.
Le développeur a apporté quelques modifications à GO SMS Pro mais pour le moment, Trustwave recommande aux utilisateurs «d’éviter d’envoyer des fichiers multimédias dont vous pensez qu’ils resteront privés ou qui peuvent contenir des données sensibles en utilisant cette application de messagerie populaire».
